Aktuelles

EuGH (GA): Fluggastdatenabkommen (Passenger Name Records – PNR) in gegenwärtiger Form nicht beschlussfähig

Nach Auffassung von Generalanwalt Mengozzi kann das geplante Abkommen zwischen der EU und Kanada über die Übermittlung von Fluggastdatensätzen in seiner jetzigen Form nicht geschlossen werden / Mehrere Bestimmungen des Abkommensentwurfs verstoßen nämlich gegen Grundrechte der Union

Die EU und Kanada handelten ab 2010 ein Abkommen über die Übermittlung und Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) aus. Das geplante Abkommen soll die Übermittlung von PNR-Daten an die kanadischen Behörden zu ihrer Nutzung, ihrer Speicherung und gegebenenfalls ihrer späteren Weitergabe ermöglichen, um Terrorismus und schwere Formen grenzübergreifender Kriminalität zu bekämpfen. Der Abkommensentwurf sieht auch Anforderungen an die Sicherheit und Integrität der PNR-Daten, eine sofortige Unkenntlichmachung sensibler Daten, Zugriffsrechte auf die Daten sowie die Berichtigung und Löschung von Daten, die Möglichkeit der Einleitung eines verwaltungsbehördlichen oder gerichtlichen Verfahrens und eine auf fünf Jahre beschränkte Datenspeicherung vor.

Nach Unterzeichnung des Abkommens im Jahr 2014 ersuchte der Rat der EU das Europäische Parlament um Zustimmung. Dieses beschloss daraufhin, den Gerichtshof mit der Frage zu befassen, ob das geplante Abkommen mit dem die Achtung des Privat- und Familienlebens und den Schutz personenbezogener Daten gewährleistenden Unionsrecht vereinbar ist. Trotz der in das Abkommen aufgenommenen Garantien fragt sich das Parlament insbesondere, ob der Eingriff in das Grundrecht auf Datenschutz gerechtfertigt ist[1]. Der Gerichtshof hat dabei erstmals über die Vereinbarkeit des Entwurfs eines internationalen Abkommens mit der Charta der Grundrechte der EU zu entscheiden.

Generalanwalt Paolo Mengozzi vertritt in seinen heutigen Schlussanträgen zunächst die Ansicht, dass das geplante Abkommen mit der Charta der Grundrechte der EU (insbesondere dem Recht auf Achtung des Privat- und Familienlebens und dem Recht auf Schutz personenbezogener Daten) vereinbar ist, sofern

  • die Kategorien von PNR-Daten der Fluggäste klar und präzise formuliert sind und sensible Daten vom Anwendungsbereich des Abkommens ausgeschlossen werden;
  • im Abkommen die Straftaten, die unter die Definition grenzübergreifender schwerer Kriminalität fallen, abschließend aufgezählt werden;
  • im Abkommen die für die Verarbeitung der PNR-Daten zuständige Behörde hinreichend klar und präzise angegeben wird, um den Schutz und die Sicherheit dieser Daten zu gewährleisten;
  • die Zahl der als „Ziel“ erfassten Personen weitgehend und nicht diskriminierend auf diejenigen beschränkt werden kann, denen gegenüber ein begründeter Verdacht der Beteiligung an einer terroristischen Straftat oder grenzübergreifender schwerer Kriminalität besteht;
  • das Abkommen festlegt, dass nur die Bediensteten der zuständigen kanadischen Behörde zum Zugang zu den PNR-Daten befugt sind, und objektive Kriterien vorsieht, die es ermöglichen, die Zahl dieser Bediensteten konkret zu bestimmen;
  • im Abkommen die objektiven Gründe angegeben werden, aus denen die Speicherung aller PNR-Daten der Fluggäste für einen Zeitraum von höchstens fünf Jahren erforderlich ist, wobei für den Fall, dass die Daten fünf Jahre lang gespeichert werden, die eine unmittelbare Identifizierung eines Fluggasts ermöglichenden Daten durch Unkenntlichmachung anonymisiert werden müssen;
  • eine unabhängige Behörde oder ein kanadisches Gericht ermächtigt wird, vorab zu prüfen, ob die zuständige kanadische Behörde im Einzelfall die PNR-Daten anderen kanadischen oder ausländischen Behörden übermitteln darf (wenn sich die Daten auf einen Unionsbürger beziehen, müssen auch die zuständigen Behörden des fraglichen Mitgliedstaats und/oder die Kommission vorab unterrichtet werden);
  • das Abkommen durch eine klare und präzise Regelung garantiert, dass eine unabhängige Behörde die Achtung der Privatsphäre und den Schutz personenbezogener Daten der Fluggäste, deren PNR-Daten verarbeitet werden, überwachen kann;
  • das Abkommen eindeutig bestimmt, dass Anträge auf Zugang, auf Berichtigung und auf Anbringung eines Bestreitungsvermerks von Fluggästen, die sich nicht in Kanada aufhalten, vor eine unabhängige Behörde gebracht werden können.

Nach Ansicht von Generalanwalt Mengozzi verstoßen jedoch bestimmte Vorschriften des geplanten Abkommens bei ihrem gegenwärtigen Stand gegen die Charta der Grundrechte der EU. Im Einzelnen handelt es sich um Bestimmungen, nach denen

  • die Möglichkeiten zur Verarbeitung von PNR-Daten über das unbedingt erforderliche Maß hinaus unabhängig von dem Zweck der öffentlichen Sicherheit, der mit dem Abkommen verfolgt wird und in der Verhinderung und Aufdeckung terroristischer Straftaten und grenzübergreifender schwerer Kriminalität besteht, erweitert werden können;
  • die Verarbeitung, Nutzung und Speicherung von PNR-Daten, die sensible Daten enthalten, durch Kanada vorgesehen ist;
  • Kanada über das unbedingt erforderliche Maß hinaus das Recht gewährt wird, jede Information offenzulegen, ohne dass ein Zusammenhang mit dem Zweck der öffentlichen Sicherheit erforderlich ist, der mit dem Abkommen verfolgt wird;
  • Kanada ermächtigt wird, die PNR-Daten für höchstens fünf Jahre insbesondere für jede besondere Maßnahme, Überprüfung, Untersuchung oder ein Gerichtsverfahren zu speichern, ohne dass ein Zusammenhang mit dem Zweck der öffentlichen Sicherheit erforderlich ist, der mit dem Abkommen verfolgt wird;
  • die Übermittlung von PNR-Daten an eine ausländische Behörde zulässig ist, ohne dass die zuständige kanadische Behörde von einer unabhängigen Stelle überwacht wird und sich zuvor vergewissert hat, dass die fragliche ausländische Behörde die Daten nicht selbst später an eine andere ausländische Stelle übermitteln kann.

Ganz allgemein gelangt der Generalanwalt zu diesem Ergebnis anhand von Erkenntnissen aus den Urteilen Digital Rights Ireland[2] und Schrems[3]. Nach seiner Ansicht ist der in diesen Urteilen vorgezeichnete Weg fortzuführen und das geplante Abkommen einer strikten Kontrolle im Hinblick auf die Achtung des Privat- und Familienlebens und das Recht auf Schutz personenbezogener Daten zu unterziehen. In einer Zeit, in der die modernen Technologien es den Behörden erlauben, im Namen der Bekämpfung des Terrorismus und der grenzübergreifenden schweren Kriminalität äußerst komplexe Methoden der Überwachung des Privatlebens von Personen und der Analyse ihrer personenbezogenen Daten zu entwickeln, ist es nämlich notwendig, dass der Gerichtshof sicherstellt, dass die beabsichtigten Maßnahmen, auch wenn sie in Form von geplanten internationalen Abkommen getroffen werden, eine ausgewogene Gewichtung widerspiegeln zwischen dem berechtigten Anliegen, die öffentliche Sicherheit zu gewährleisten, und dem nicht weniger grundlegenden Anliegen, dass jede Person hinsichtlich ihres Privatlebens und ihrer eigenen Daten ein hohes Schutzniveau genießt.

EuGH, Pressemitteilung v. 08.09.2016 zu den Schlussanträgen des Generalanwalts zum Gutachtenantrag 1/15

—————————————

[1] Das Parlament möchte ferner wissen, ob das geplante Abkommen rechtlich auf die Art. 82 und 87 AEUV (justizielle Zusammenarbeit in Strafsachen und polizeiliche Zusammenarbeit) oder auf Art. 16 AEUV (Schutz personenbezogener Daten) zu stützen ist. Hierauf antwortet der Generalanwalt, dass das Abkommen auf der Grundlage sowohl von Art. 16 als auch von Art. 87 AEUV zu schließen ist. Mit ihm werden nämlich zwei untrennbar miteinander verbundene und gleichermaßen wichtige Ziele verfolgt (Kampf gegen den Terrorismus und die grenzübergreifende schwere Kriminalität –Art. 87 AEUV – und Schutz personenbezogener Daten – Art. 16 AEUV).

[2] Urteil des Gerichtshofs vom 08.04.2014, Digital Rights Ireland u. a. (C-293/12 und C-594/12, vgl. Pressemitteilung Nr. 54/14: Der Gerichtshof erklärt die Richtlinie über die Vorratsspeicherung von Daten für ungültig).

[3] Urteil des Gerichtshofs vom 06.10.2015, Schrems (C-362/14, vgl. Pressemitteilung Nr. 117/15: Der Gerichtshof erklärt die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig).